Agentes de la Policía Nacional, en el marco de una investigación internacional coordinada por EUROPOL, y en colaboración con el FBI y la Policía de Alemania, han participado en una operación que ha permitido desmantelar la infraestructura utilizada por el grupo criminal Hive, autor de miles de ataques de tipo Ransomware por todo el mundo. La operación ha impedido el uso del ransomware Hive, del que se habrían servido para atacar a más de 1.300 empresas en todo el mundo, así como a sectores de infraestructura crítica como instalaciones gubernamentales, de tecnologías de la información y de salud pública.
La operación en España comenzó en octubre del año 2021 con la recepción de una denuncia interpuesta por una empresa de nuestro país, víctima de un ataque sufrido por un ransomware de la familia Hive, procedente del grupo criminal del mismo nombre.
Con la investigación ya en marcha, se produjeron ataques a nuevas víctimas en España, motivo por el que especialistas en la lucha contra la ciberdelincuencia de la Policía Nacional llevaron a cabo una profunda labor de investigación, análisis de datos, recopilación de información, muestras de malware y de herramientas utilizadas durante los ataques. Esto permitió a nuestros agentes el acceso a un grupo de trabajo, coordinado por EUROPOL, en el que participaban un gran número de países, también afectados por ataques de esta familia de ransomware con el objetivo de desarticular el entramado criminal.
Dentro del grupo de trabajo, la Policía Nacional es la agencia que más casos de ataques documentados ha aportado, con un total de 18 desde el inicio de la investigación. Además, el grupo de Ciberataques ha contado con el asesoramiento del INCIBE-CERT y de empresas privadas de ciberinteligencia como KELA en labores de análisis técnico forense así como de técnicas avanzadas de análisis de fuentes abiertas y redes sociales.
Gracias a la labor de inteligencia efectuada entre todos los países cooperantes (13 en total), el FBI de Tampa (Florida) y la Policía de Alemania determinaron la ubicación del servidor principal utilizado por los atacantes, estableciéndose un operativo para desmantelar dicha infraestructura, inhabilitando por completo la actividad delictiva del grupo criminal.
La modalidad de ciberdelincuencia de ransomware ha evolucionado muy rápidamente en los últimos años, consiguiendo altos niveles de sofistificación a nivel técnico, y produciéndose varios niveles de extorsión para la víctima. El primero se produce cuando el atacante cifra los sistemas de una empresa y solicita el rescate económico para descifrar dicha información. Para ello, amenazan a las víctimas con una doble extorsión en la que advierte de que si no realiza el pago solicitado, dicha información será publicada en Internet y puesta a la venta en diferentes foros o mercados ilegales. Además, se llega a producir una triple extorsión cuando el atacante ha conseguido información sensible de terceros afectados y contacta con los mismos de forma directa para extorsionarles mediante la amenaza de hacer públicos sus datos personales si no pagan un rescate para impedirlo.
En el último año, el ransomware Hive ha supuesto una grave ciberamenaza empleada para comprometer y cifrar los datos y los sistemas informáticos de grandes multinacionales tanto en la Unión Europea como en los EE. UU. Concretamente, desde junio de 2021, más de 1.500 empresas de más de 80 países de todo el mundo han sido víctimas de este ransomware y han perdido cerca de 100 millones de euros en pagos de rescate.
Desde junio de 2021 hasta noviembre de 2022, los investigados utilizaron el ransomware para apuntar a una amplia gama de empresas y sectores de infraestructura crítica, incluidas instalaciones gubernamentales, empresas de telecomunicaciones, fabricación, tecnología de la información y atención médica y salud pública. En uno de sus mayores ataques, los afiliados de Hive atacaron un hospital, perturbando gravemente el funcionamiento del mismo durante la pandemia de COVID-19.
Los afiliados atacaban a las empresas de diferentes maneras. Algunos actores de Hive obtuvieron acceso a las redes de las víctimas mediante el uso de credenciales comprometidas de acceso a servicios de escritorio remoto con un solo factor de autenticación, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Por último, también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos.
Europol impulsó los esfuerzos de mitigación con otros países de la UE para impedir el despliegue de efectos perniciosos en las víctimas, con lo que se evitó que las empresas privadas fueran víctimas del ransomware. Las autoridades policiales proporcionaron la clave de descifrado a las empresas comprometidas para ayudarlas a descifrar sus datos sin recurrir al pago del rescate. Este esfuerzo ha impedido el pago de más de 130 millones de dólares, lo que equivale a unos 120 millones de euros en pagos por rescate.
